Dos vulnerabilidades recientemente identificadas representan un riesgo importante para empresas y proyectos que utilizan WordPress como plataforma principal de sus sitios web. Los fallos permiten la carga arbitraria de archivos maliciosos, una de las técnicas más peligrosas utilizadas por los atacantes para comprometer servidores y robar información.
CVE-2025-10147: Podlove Podcast Publisher
El plugin Podlove Podcast Publisher, ampliamente usado por creadores de contenido, presenta una vulnerabilidad crítica (CVSS 9.8) en la función move_as_original_file.
Afecta a todas las versiones hasta la 4.2.6.
El problema radica en la falta de validación de tipo de archivo, lo que permite a un atacante subir ficheros maliciosos al servidor.
Esto puede derivar en la ejecución remota de código y el control total del sitio afectado.
CVE-2025-10412: Uni CPO para WooCommerce
El plugin Uni CPO (Premium), utilizado para opciones de producto y cálculos de precios en WooCommerce, también sufre de una vulnerabilidad crítica (CVSS 9.8).
El fallo está relacionado con una validación incorrecta de los tipos de archivo permitidos.
Esto permite que se carguen archivos no autorizados en el servidor, con los mismos riesgos de intrusión y robo de datos.
¿Qué riesgos implican estas fallas?
La posibilidad de subir archivos arbitrarios abre la puerta a escenarios como:
Instalación de webshells para mantener acceso persistente.
Robo de credenciales y datos sensibles de clientes y usuarios.
Uso del sitio como plataforma para ataques posteriores (spam, phishing o distribución de malware).
Recomendaciones para empresas y administradores
Actualizar de inmediato los plugins a sus últimas versiones disponibles.
Revisar periódicamente los registros de archivos cargados en el servidor.
Implementar soluciones de WAF (Web Application Firewall) para detectar y bloquear cargas maliciosas.
Mantener una estrategia de copias de seguridad frecuentes, que permita restaurar rápidamente en caso de compromiso.
Conclusión
Estas vulnerabilidades muestran cómo incluso los plugins más utilizados en WordPress pueden convertirse en un vector crítico de ataque si no se gestionan de forma adecuada. Las empresas deben mantener una política activa de parches y monitoreo continuo, para asegurar la integridad de su presencia digital y proteger la información de sus clientes.
